La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Chapitre 8 : La sécurité dans les SI. 2 Objectifs du chapitre Comprendre laspect global de la sécurité des SI Comprendre laspect global de la sécurité

Présentations similaires


Présentation au sujet: "Chapitre 8 : La sécurité dans les SI. 2 Objectifs du chapitre Comprendre laspect global de la sécurité des SI Comprendre laspect global de la sécurité"— Transcription de la présentation:

1 Chapitre 8 : La sécurité dans les SI

2 2 Objectifs du chapitre Comprendre laspect global de la sécurité des SI Comprendre laspect global de la sécurité des SI Savoir ce quest un plan de secours Savoir ce quest un plan de secours Connaître les bases de la sécurité physique et logique Connaître les bases de la sécurité physique et logique Connaître quelques mesures de sécurité Connaître quelques mesures de sécurité

3 3 Plan du chapitre 1.Les enjeu de la sécurité 1.Les enjeu de la sécurité 1.1Notion de sinistre1.1Notion de sinistre 1.2 Notion de risques1.2 Notion de risques 2.Concept de sécurité des SI 2.Concept de sécurité des SI 3. Assurer la continuité dexploitation : le plan de secours 3. Assurer la continuité dexploitation : le plan de secours 4. La démarche sécurité 4. La démarche sécurité 5. Les mesures de sécurité 5. Les mesures de sécurité 5.1En interne5.1En interne 5.2 Dans les communications externes5.2 Dans les communications externes

4 4 Plan du chapitre 1.Les enjeu de la sécurité 1.Les enjeu de la sécurité 1.1Notion de sinistre1.1Notion de sinistre 1.2 Notion de risques1.2 Notion de risques 2.Concept de sécurité des SI 2.Concept de sécurité des SI 3. Assurer la continuité dexploitation : le plan de secours 3. Assurer la continuité dexploitation : le plan de secours 4. La démarche sécurité 4. La démarche sécurité 5. Les mesures de sécurité 5. Les mesures de sécurité 5.1En interne5.1En interne 5.2 Dans les communications externes5.2 Dans les communications externes

5 5 Introduction L'objectif de la sécurité des systèmes d'information est de garantir qu'aucun préjudice ne puisse mettre en péril la pérennité de l'entreprise. Cela consiste à diminuer la probabilité de voir des menaces se concrétiser, à en limiter les atteintes ou dysfonctionnements induits, et autoriser le retour à un fonctionnement normal à des coûts et des délais acceptables en cas de sinistre L'objectif de la sécurité des systèmes d'information est de garantir qu'aucun préjudice ne puisse mettre en péril la pérennité de l'entreprise. Cela consiste à diminuer la probabilité de voir des menaces se concrétiser, à en limiter les atteintes ou dysfonctionnements induits, et autoriser le retour à un fonctionnement normal à des coûts et des délais acceptables en cas de sinistre La sécurité ne permet pas directement de gagner de l'argent mais évite d'en perdre. Ce n'est rien d'autre qu'une stratégie préventive. La sécurité ne permet pas directement de gagner de l'argent mais évite d'en perdre. Ce n'est rien d'autre qu'une stratégie préventive. La gestion de la sécurité est spécifique à la structure organisationnelle de l'entreprise et dépend de sa stratégie. Il existe donc autant de politiques, de procédures, d'outils de sécurité que d'entreprises et de besoins sécuritaires. La gestion de la sécurité est spécifique à la structure organisationnelle de l'entreprise et dépend de sa stratégie. Il existe donc autant de politiques, de procédures, d'outils de sécurité que d'entreprises et de besoins sécuritaires.

6 6 Plan du chapitre 1.Les enjeu de la sécurité 1.Les enjeu de la sécurité 1.1Notion de sinistre1.1Notion de sinistre 1.2 Notion de risques1.2 Notion de risques 2.Concept de sécurité des SI 2.Concept de sécurité des SI 3. Assurer la continuité dexploitation : le plan de secours 3. Assurer la continuité dexploitation : le plan de secours 4. La démarche sécurité 4. La démarche sécurité 5. Les mesures de sécurité 5. Les mesures de sécurité 5.1En interne5.1En interne 5.2 Dans les communications externes5.2 Dans les communications externes

7 7 Notion de sinistre Un sinistre est : Un sinistre est : « la détérioration notable des fonctionnalités dun SI » Un sinistre est possible car un SI est vulnérable Un sinistre est possible car un SI est vulnérable Le préalable au sinistre est «lagression » Le préalable au sinistre est «lagression »

8 8 Plan du chapitre 1.Les enjeu de la sécurité 1.Les enjeu de la sécurité 1.1Notion de sinistre1.1Notion de sinistre 1.2 Notion de risques1.2 Notion de risques 2.Concept de sécurité des SI 2.Concept de sécurité des SI 3. Assurer la continuité dexploitation : le plan de secours 3. Assurer la continuité dexploitation : le plan de secours 4. La démarche sécurité 4. La démarche sécurité 5. Les mesures de sécurité 5. Les mesures de sécurité 5.1En interne5.1En interne 5.2 Dans les communications externes5.2 Dans les communications externes

9 9 4 classes de risques Classe 1 : les accidents Classe 1 : les accidents Incendie, inondation, pannes techniquesIncendie, inondation, pannes techniques Classe 2 : les erreurs Classe 2 : les erreurs Erreur de saisie manuelle de linformationErreur de saisie manuelle de linformation Erreur de conception et de réalisation des logiciels (bugs)Erreur de conception et de réalisation des logiciels (bugs)

10 10 4 classes de risques Classe 3 : les malveillances Classe 3 : les malveillances Vol, fraudes, sabotage, piratageVol, fraudes, sabotage, piratage IndiscrétionsIndiscrétions Attaques viralesAttaques virales Détournement de biensDétournement de biens Classe 4 : les risques divers Classe 4 : les risques divers Grève, départ du personnel spécialiséGrève, départ du personnel spécialisé

11 11 Les risques encourus proviennent donc de 2 sources : Les risques encourus proviennent donc de 2 sources : Risques externesRisques externes Risques internesRisques internes

12 12 Plan du chapitre 1.Les enjeu de la sécurité 1.Les enjeu de la sécurité 1.1Notion de sinistre1.1Notion de sinistre 1.2 Notion de risques1.2 Notion de risques 2.Concept de sécurité des SI 2.Concept de sécurité des SI 3. Assurer la continuité dexploitation : le plan de secours 3. Assurer la continuité dexploitation : le plan de secours 4. La démarche sécurité 4. La démarche sécurité 5. Les mesures de sécurité 5. Les mesures de sécurité 5.1En interne5.1En interne 5.2 Dans les communications externes5.2 Dans les communications externes

13 13 La sécurité des SI est un concept à deux dimensions La sécurité des SI est un concept à deux dimensions Dimension technique (informatique)Dimension technique (informatique) Dimension organisationnelle, managériale et humaineDimension organisationnelle, managériale et humaine

14 14 La politique de sécurité correspond à ce que lentreprise met en œuvre pour assurer la sécurité du SI. La politique de sécurité correspond à ce que lentreprise met en œuvre pour assurer la sécurité du SI. Limportant est dassurer la continuité de lexploitation cest-à- dire du fonctionnement de lentreprise. Limportant est dassurer la continuité de lexploitation cest-à- dire du fonctionnement de lentreprise.

15 15 2 aspects dans la sécurité : 2 aspects dans la sécurité : Préventif : réduire le degré de vulnérabilitéPréventif : réduire le degré de vulnérabilité Curatif : mesures de récupération, mesures palliativesCuratif : mesures de récupération, mesures palliatives

16 16 Concrètement il sagit de : Concrètement il sagit de : Mettre en place tous les moyens de prévention, de détection des agressions afin déviter les sinistresMettre en place tous les moyens de prévention, de détection des agressions afin déviter les sinistres Mettre en place tous les moyens pour limiter limpact dun sinistre si celui-ci doit avoir lieuMettre en place tous les moyens pour limiter limpact dun sinistre si celui-ci doit avoir lieu

17 17 La gestion de la sécurité se fait dans un univers incertain La gestion de la sécurité se fait dans un univers incertain Les sinistres résultent de causes diverses et parfois de combinaisons de causes difficilement prévisiblesLes sinistres résultent de causes diverses et parfois de combinaisons de causes difficilement prévisibles

18 18 Cela signifie que la sécurité doit être abordée dans un contexte global : Cela signifie que la sécurité doit être abordée dans un contexte global : La sensibilisation des utilisateurs aux problèmes de sécuritéLa sensibilisation des utilisateurs aux problèmes de sécurité La sécurité des télécommunicationsLa sécurité des télécommunications La sécurité logique : données et programmesLa sécurité logique : données et programmes La sécurité physique : locaux, infrastructures, matérielsLa sécurité physique : locaux, infrastructures, matériels

19 19 Plan du chapitre 1.Les enjeu de la sécurité 1.Les enjeu de la sécurité 1.1Notion de sinistre1.1Notion de sinistre 1.2 Notion de risques1.2 Notion de risques 2.Concept de sécurité des SI 2.Concept de sécurité des SI 3. Assurer la continuité dexploitation : le plan de secours 3. Assurer la continuité dexploitation : le plan de secours 4. La démarche sécurité 4. La démarche sécurité 5. Les mesures de sécurité 5. Les mesures de sécurité 5.1En interne5.1En interne 5.2 Dans les communications externes5.2 Dans les communications externes

20 20 Assurer la continuité dexploitation La sécurité absolue ne peut pas être garantie. Il faut donc anticiper l'arrivée de tels sinistres en ayant prévu un plan de continuité d'entreprise. Lors de la survenance de tel sinistre et dans la panique et le stress, il est évidemment trop tard pour se demander qui fait quoi, où et comment ?

21 21 Assurer la continuité dexploitation Pour ce faire, le plan de continuité d'entreprise est composé : Pour ce faire, le plan de continuité d'entreprise est composé : de mesures de prévention, pour diminuer la probabilité d'occurrence d'une défaillance, de mesures de prévention, pour diminuer la probabilité d'occurrence d'une défaillance, de mesures de détection et de réaction, en ayant de bon réflexe, de mesures de détection et de réaction, en ayant de bon réflexe, de plans de secours, pour diminuer les conséquences du sinistre. de plans de secours, pour diminuer les conséquences du sinistre.

22 22 Il n'est pas seulement composé des moyens de secours. Il n'est pas seulement composé des moyens de secours. Il doit comprendre une structure de gestion de crise, la planification des différentes actions prêtes à être exécutées et des procédures formalisées. Il doit comprendre une structure de gestion de crise, la planification des différentes actions prêtes à être exécutées et des procédures formalisées. Les plans de secours

23 23 Un plan de secours se décompose en différents plans : 1. un plan de gestion et de communication de crise, Composition des plans de secours

24 24 2. un PCA (plan de continuité d'activité) par métiers de l'entreprise, pouvant nécessiter un site de repli hébergeant les activités prioritaires. Le plan de continuité se constitue en quatre volets : létablissement dune liste de scénarios dincidents envisageables (de la panne disque au tremblement de terre), létablissement dune liste de scénarios dincidents envisageables (de la panne disque au tremblement de terre), la rédaction des procédures de secours, la rédaction des procédures de secours, la mise en place des moyens et dispositions définis, la mise en place des moyens et dispositions définis, le contrôle permanent de la pertinence et de lefficacité des scénarios. le contrôle permanent de la pertinence et de lefficacité des scénarios. Composition des plans de secours

25 25 3. un plan de retour à une situation normale. Composition des plans de secours

26 26 Ces plans doivent être déclinés en fonction des sinistres qu'ils doivent pallier. Un plan de secours " viral " n'aura pas les mêmes caractéristiques qu'un plan de secours " inondation ". Composition des plans de secours

27 27 Plan du chapitre 1.Les enjeu de la sécurité 1.Les enjeu de la sécurité 1.1Notion de sinistre1.1Notion de sinistre 1.2 Notion de risques1.2 Notion de risques 2.Concept de sécurité des SI 2.Concept de sécurité des SI 3. Assurer la continuité dexploitation : le plan de secours 3. Assurer la continuité dexploitation : le plan de secours 4. La démarche sécurité 4. La démarche sécurité 5. Les mesures de sécurité 5. Les mesures de sécurité 5.1En interne5.1En interne 5.2 Dans les communications externes5.2 Dans les communications externes

28 28 Démarche sécurité Utilisation dune méthode Utilisation dune méthode En France : Méthode M.A.R.I.O.N En France : Méthode M.A.R.I.O.N MARION = Méthode dAnalyse des Risques Informatiques et d Optimisation par Niveaux

29 29 Démarche sécurité : MARION 1. Analyse des risques 2. Expression du risque maximum admissible 3. Analyse des moyens de la sécurité 4. Evaluation des contraintes 5. Choix des moyens Protection, prévention 6. Plan dorientation

30 30 1. Quels risques encourt-on ? (par types, par fonction…) 1. Quels risques encourt-on ? (par types, par fonction…) 2. Peut on supporter ce risque ? Quelle perte peut supporter lentreprise sans remettre en cause sa pérennité ? 2. Peut on supporter ce risque ? Quelle perte peut supporter lentreprise sans remettre en cause sa pérennité ? 3. Quelle est actuellement la qualité de notre sécurité ? (questionnaire daudit) 3. Quelle est actuellement la qualité de notre sécurité ? (questionnaire daudit)

31 31 4. Quelles sont les contraintes majeures à respecter ? techniques (liées aux bâtiments par ex) humaines (motivation, formation par ex) financières (coût) 4. Quelles sont les contraintes majeures à respecter ? techniques (liées aux bâtiments par ex) humaines (motivation, formation par ex) financières (coût)

32 32 5. Comment améliorer la sécurité en fonction des contraintes ? But : trouver la solution optimale (prévention/protection) en efficacité et en coût. 5. Comment améliorer la sécurité en fonction des contraintes ? But : trouver la solution optimale (prévention/protection) en efficacité et en coût. 6. Quel schéma daction mettre en œuvre ? A partir des résultats de létape 5 les orientations retenues sont mises en forme en termes de budgets, de planning, de solution technique Ce document : expression de la politique de sécurité de lentreprise. 6. Quel schéma daction mettre en œuvre ? A partir des résultats de létape 5 les orientations retenues sont mises en forme en termes de budgets, de planning, de solution technique Ce document : expression de la politique de sécurité de lentreprise.

33 33 Plan du chapitre 1.Les enjeu de la sécurité 1.Les enjeu de la sécurité 1.1Notion de sinistre1.1Notion de sinistre 1.2 Notion de risques1.2 Notion de risques 2.Concept de sécurité des SI 2.Concept de sécurité des SI 3. Assurer la continuité dexploitation : le plan de secours 3. Assurer la continuité dexploitation : le plan de secours 4. La démarche sécurité 4. La démarche sécurité 5. Les mesures de sécurité 5. Les mesures de sécurité 5.1En interne5.1En interne 5.2 Dans les communications externes5.2 Dans les communications externes

34 34 Mesures de sécurité Il est très difficile de lister lensemble des mesures possibles. On peut se donner quelques pistes de réflexion grâce à une analyse par décomposition successive

35 35 Analyse par décomposition (exemple) Vulnérabilité (voie daccès à une ressource du système) Voie daccès physique Voie daccès logique (données, programmes) Aux locaux Aux ressources dans les locaux Aux ressources hors des locaux Violation des droits daccès Usurpation des droits daccès

36 36 Analyse par décomposition (exemple) Auteur de lagression NatureIndividu IncendieEauxAutres MalveillanceErreurs Jeux VengeanceGain

37 37 Plan du chapitre 1.Les enjeu de la sécurité 1.Les enjeu de la sécurité 1.1Notion de sinistre1.1Notion de sinistre 1.2 Notion de risques1.2 Notion de risques 2.Concept de sécurité des SI 2.Concept de sécurité des SI 3. Assurer la continuité dexploitation : le plan de secours 3. Assurer la continuité dexploitation : le plan de secours 4. La démarche sécurité 4. La démarche sécurité 5. Les mesures de sécurité 5. Les mesures de sécurité 5.1En interne5.1En interne 5.2 Dans les communications externes5.2 Dans les communications externes

38 38 Mesures de sécurité A lintérieur de lentreprise : Dans ses locaux Dans ses processus Dans son organisation

39 39 Mesures de sécurité Sécurité physique des ressources Sécurité physique des ressources Locaux adaptésLocaux adaptés Protection incendie et eaux rigoureuseProtection incendie et eaux rigoureuse Sécurisation des accès aux locaux : badge, serrure, BiométrieSécurisation des accès aux locaux : badge, serrure, Biométrie Détecteurs dintrusion, radars, alarmesDétecteurs dintrusion, radars, alarmes Back-up : sauvegarde de données permettant une récupération (à faire régulièrement !!!)Back-up : sauvegarde de données permettant une récupération (à faire régulièrement !!!) Utilisation dun onduleurUtilisation dun onduleur

40 40 Mesures de sécurité Sécurité logique (données et programmes) Sécurité logique (données et programmes) Firewall (pare feu)Firewall (pare feu) AppliancesAppliances Identification des utilisateurs par mots de passe (changés périodiquement)Identification des utilisateurs par mots de passe (changés périodiquement) Gestion des accès réseauxGestion des accès réseaux

41 41 Mesures de sécurité Sécurité logique (données et programmes) Sécurité logique (données et programmes) Confidentialité par chiffrementConfidentialité par chiffrement Contrôle des erreurs de saisie (procédures de vérification dans le logiciel)Contrôle des erreurs de saisie (procédures de vérification dans le logiciel) Antivirus, anti-spam, anti-spyware,Antivirus, anti-spam, anti-spyware,

42 42 Mesures de sécurité Sécurité générale Sécurité générale Séparation des fonctions (principe FONDAMENTAL du contrôle interne)Séparation des fonctions (principe FONDAMENTAL du contrôle interne) Garantie sur la compétence et la moralité des individus recrutésGarantie sur la compétence et la moralité des individus recrutés Opérer la rotation des individus sur les postesOpérer la rotation des individus sur les postes Action de formation sur la sécuritéAction de formation sur la sécurité

43 43 Mesures de sécurité Assurance Assurance Couverture des risques classiques (incendie, dégâts des eaux…)Couverture des risques classiques (incendie, dégâts des eaux…) Couvertures des pertes dexploitation, des frais de reconstitution dinformationCouvertures des pertes dexploitation, des frais de reconstitution dinformation Infogérance de la sécurité Infogérance de la sécurité Transfert du risque à une société spécialiséeTransfert du risque à une société spécialisée

44 44 Mesures de sécurité Et à dans les relations-échanges avec lextérieur (clients, administrations, fournisseurs, banques…) ?

45 45 Plan du chapitre 1.Les enjeu de la sécurité 1.Les enjeu de la sécurité 1.1Notion de sinistre1.1Notion de sinistre 1.2 Notion de risques1.2 Notion de risques 2.Concept de sécurité des SI 2.Concept de sécurité des SI 3. Assurer la continuité dexploitation : le plan de secours 3. Assurer la continuité dexploitation : le plan de secours 4. La démarche sécurité 4. La démarche sécurité 5. Les mesures de sécurité 5. Les mesures de sécurité 5.1En interne5.1En interne 5.2 Dans les communications externes5.2 Dans les communications externes

46 46 Mesures de sécurité VPN VPN PKI (public key infrastructure) : Structure (matériel + logiciel + homme et/ou prestataire extérieur) qui gère le cryptage, le décryptage et la signature électronique des informations échangés via un réseau de communication PKI (public key infrastructure) : Structure (matériel + logiciel + homme et/ou prestataire extérieur) qui gère le cryptage, le décryptage et la signature électronique des informations échangés via un réseau de communication

47 47 Dans les échanges il y a un double besoin : Dans les échanges il y a un double besoin : Besoin de confidentialité sur le réseauBesoin de confidentialité sur le réseau Besoin dintégrité du message (le message est bien celui dorigine) et de garantie de lémetteurBesoin dintégrité du message (le message est bien celui dorigine) et de garantie de lémetteur

48 48 Le chiffrement par clé publique et privée Pour une entreprise, un logiciel de chiffrement génère 2 clés (2 algorithmes mathématiques) qui sont liées lune à lautre : lune est publique (diffusée à tout le monde) et lautre est privée (confidentielle et conservée par lentreprise) ; Pour une entreprise, un logiciel de chiffrement génère 2 clés (2 algorithmes mathématiques) qui sont liées lune à lautre : lune est publique (diffusée à tout le monde) et lautre est privée (confidentielle et conservée par lentreprise) ; Lémetteur du message dispose de la clé publique ; le message est ensuite codée grâce à la clé publique qui présente la particularité de ne pouvoir être décodée seulement par la clé privée Lémetteur du message dispose de la clé publique ; le message est ensuite codée grâce à la clé publique qui présente la particularité de ne pouvoir être décodée seulement par la clé privée

49 49 Le certificat de sécurité Certificat de sécurité : Document qui sert à faire transiter la clé publique dune organisation vers un utilisateur. Certificat de sécurité : Document qui sert à faire transiter la clé publique dune organisation vers un utilisateur. A quoi il sert ? : Il permet dassurer que la clé publique que lon se procure est bien celle du destinataire à qui on veut envoyer un message. A quoi il sert ? : Il permet dassurer que la clé publique que lon se procure est bien celle du destinataire à qui on veut envoyer un message. Le certificat de toute organisation est délivré par une autorité de certification Le certificat de toute organisation est délivré par une autorité de certification

50 50 La signature électronique Empreinte (haché ou condensé) : Résultat de lapplication dune fonction mathématique sur le message (comme la clé RIB mais en plus perfectionné). Ce résultat représente la signature numérique du document Empreinte (haché ou condensé) : Résultat de lapplication dune fonction mathématique sur le message (comme la clé RIB mais en plus perfectionné). Ce résultat représente la signature numérique du document Ce résultat est transmis par chiffrement au destinataire qui na plus quà comparer lempreinte transmise et lempreinte réelle quil calcule lui même

51 51 La confidentialité du message est préservée par le chiffrement La confidentialité du message est préservée par le chiffrement lintégrité et lémetteur du message sont validés par la signature électronique lintégrité et lémetteur du message sont validés par la signature électronique

52 52 Les objectifs du chapitre sont ils atteints ? Comprendre laspect global de la sécurité des SI Comprendre laspect global de la sécurité des SI Savoir ce quest un plan de secours Savoir ce quest un plan de secours Connaître les bases de la sécurité physique et logique Connaître les bases de la sécurité physique et logique Connaître quelques mesures de sécurité Connaître quelques mesures de sécurité


Télécharger ppt "Chapitre 8 : La sécurité dans les SI. 2 Objectifs du chapitre Comprendre laspect global de la sécurité des SI Comprendre laspect global de la sécurité"

Présentations similaires


Annonces Google